[Virus] infecté par Backdoor.Skinymes.Agent.A
Résolu/Fermé
tinou35
-
5 mars 2007 à 13:30
afideg Messages postés 10516 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 3 avril 2007 à 11:04
afideg Messages postés 10516 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 3 avril 2007 à 11:04
A voir également:
- [Virus] infecté par Backdoor.Skinymes.Agent.A
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Softonic virus - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
50 réponses
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 11:35
6 mars 2007 à 11:35
Zut alors ( je suis sous médicaments )
Voici la procédure :
Étape 1:
Télécharge eScan Antivirus Toolkit ici:
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
Désactive la restauration système :
"Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK
Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier .
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier « mwavscan.com » situé dans le dossier C:\Kaspersky
2.) Double-clique sur « mwavscan.com » ; l'interface d'eScan va apparaître à l'écran.
3.) Coche les options comme indiquées sur cette page < https://www.malekal.com/fichiers/eScan/eScan3.png > ; c’est-à-dire:
- Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Puis en bas à droite, clic sur « Scan Clean » et laisse l’outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras « Scan Completed ». Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre « Virus Log Information » (la deuxième, au bas) dans le fichier texte, et sauvegarde-le sur le bureau ( pour le retrouver facilement – donne-lui un nom, par ex KAS -).
eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme.
Redémarre ton PC en mode Normal.
Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
Al.
Voici la procédure :
Étape 1:
Télécharge eScan Antivirus Toolkit ici:
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
Désactive la restauration système :
"Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK
Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier .
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier « mwavscan.com » situé dans le dossier C:\Kaspersky
2.) Double-clique sur « mwavscan.com » ; l'interface d'eScan va apparaître à l'écran.
3.) Coche les options comme indiquées sur cette page < https://www.malekal.com/fichiers/eScan/eScan3.png > ; c’est-à-dire:
- Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Puis en bas à droite, clic sur « Scan Clean » et laisse l’outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras « Scan Completed ». Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre « Virus Log Information » (la deuxième, au bas) dans le fichier texte, et sauvegarde-le sur le bureau ( pour le retrouver facilement – donne-lui un nom, par ex KAS -).
eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme.
Redémarre ton PC en mode Normal.
Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
Al.
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 11:55
6 mars 2007 à 11:55
Je déjeune, et je reviens.
ca y est enfin !!! Le scan d'escan vient tout juste de se terminer et, la fenetre "Virus Log Information" était vide.
tu as écrit "je suis sous médicaments", c'est pas trop grave j'espere ?
tu as écrit "je suis sous médicaments", c'est pas trop grave j'espere ?
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 13:27
6 mars 2007 à 13:27
Re,
Merci tinou
T'inquiète pas lol
On répond dans ce cas-là « C'est la vie lol »
Es-tu belge ?
Continue avec cette double analyse ( qui doit permettre de confirmer la présence de pe386 ...; et en deuxième phase, de tenter de supprimer cette misère )
Télécharge SmitfraudFix : < http://siri.urz.free.fr/Fix/SmitfraudFix.zip > sur le bureau.
Une fois téléchargé sur ton bureau , clic droit sur son icône, puis choisis " Extraire vers ... « bureau »"
Tu as alors un nouveau dossier dénommé SmitfraudFix qui s'est créé sur le bureau.
Ouvre ce dossier et double-clic sur "Smitfraudfix.cmd",
Sur la page bleue qui s'affiche, tape 4 > ENTER. ( pour mise à jour ) [2.147]
Ensuite tape 1 > ENTER.
1°- Copie et colle son rapport sur le forum
- Ensuite, si tu vois des lignes avec "PRESENT! " , poursuivre la procédure suivante:
• Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)
• Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisis l’option 2 et tu réponds oui à tout.
2°- Copie/colle ce second rapport sur le forum, s’il te plaît.
Recommandation:
•- Tu as toutes les explications sur le tutoriel < http://siri.urz.free.fr/Fix/SmitfraudFix.php >
•- process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Donc, si alerte de ton Firewall, autorise !
Merci tinou
T'inquiète pas lol
On répond dans ce cas-là « C'est la vie lol »
Es-tu belge ?
Continue avec cette double analyse ( qui doit permettre de confirmer la présence de pe386 ...; et en deuxième phase, de tenter de supprimer cette misère )
Télécharge SmitfraudFix : < http://siri.urz.free.fr/Fix/SmitfraudFix.zip > sur le bureau.
Une fois téléchargé sur ton bureau , clic droit sur son icône, puis choisis " Extraire vers ... « bureau »"
Tu as alors un nouveau dossier dénommé SmitfraudFix qui s'est créé sur le bureau.
Ouvre ce dossier et double-clic sur "Smitfraudfix.cmd",
Sur la page bleue qui s'affiche, tape 4 > ENTER. ( pour mise à jour ) [2.147]
Ensuite tape 1 > ENTER.
1°- Copie et colle son rapport sur le forum
- Ensuite, si tu vois des lignes avec "PRESENT! " , poursuivre la procédure suivante:
• Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)
• Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisis l’option 2 et tu réponds oui à tout.
2°- Copie/colle ce second rapport sur le forum, s’il te plaît.
Recommandation:
•- Tu as toutes les explications sur le tutoriel < http://siri.urz.free.fr/Fix/SmitfraudFix.php >
•- process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Donc, si alerte de ton Firewall, autorise !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le premier rapport, non je ne suis pas belge ;) Pourquoi?? un indice a filtré dans ce sens ?
SmitFraudFix v2.147
Scan done at 13:36:59,17, 06/03/2007
Run from C:\Documents and Settings\tinou35\My Documents\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» M:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\tinou35
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\tinou35\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\tinou35\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
SmitFraudFix v2.147
Scan done at 13:36:59,17, 06/03/2007
Run from C:\Documents and Settings\tinou35\My Documents\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» M:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\tinou35
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\tinou35\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\tinou35\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 13:50
6 mars 2007 à 13:50
Re,
Rien n'est évident !!
1°- Désactive à nouveau la restauration système ( "Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK )
2°- • Télécharge Rustbfix (par ejvindh) http://www.uploads.ejvindh.net/rustbfix.exe
• Sauvegarde-le sur ton Bureau.
3°- Redémarre en mode sans échec ( 1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur )
4°- • Double clique rustbfix.exe afin de lancer l'outil.
• Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
• Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
• Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.
5°- Relance SmitfraudFix.cmd option 2
Edit: Connais-tu ceci BOINC ??
Merci
Courage
Al.
Rien n'est évident !!
1°- Désactive à nouveau la restauration système ( "Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK )
2°- • Télécharge Rustbfix (par ejvindh) http://www.uploads.ejvindh.net/rustbfix.exe
• Sauvegarde-le sur ton Bureau.
3°- Redémarre en mode sans échec ( 1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur )
4°- • Double clique rustbfix.exe afin de lancer l'outil.
• Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
• Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
• Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.
5°- Relance SmitfraudFix.cmd option 2
Edit: Connais-tu ceci BOINC ??
Merci
Courage
Al.
voici les deux rapports :
BOINC et une plateforme de calcul distribuée (je l'utilise depuis plus de 2 ans), pas de soucis de ce coté.
************************* Rustock.b-fix -- By ejvindh *************************
06/03/2007 14:01:26,40
No Rustock.b-rootkits found
******************************* End of Logfile ********************************
SmitFraudFix v2.147
Scan done at 14:02:48,61, 06/03/2007
Run from C:\Documents and Settings\tinou35\My Documents\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
BOINC et une plateforme de calcul distribuée (je l'utilise depuis plus de 2 ans), pas de soucis de ce coté.
************************* Rustock.b-fix -- By ejvindh *************************
06/03/2007 14:01:26,40
No Rustock.b-rootkits found
******************************* End of Logfile ********************************
SmitFraudFix v2.147
Scan done at 14:02:48,61, 06/03/2007
Run from C:\Documents and Settings\tinou35\My Documents\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 14:24
6 mars 2007 à 14:24
Re,
Il n'y a que FixWareout qui les détecte !!
Reste encore avec la restauration désactivée .
1°- - Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
-- Redémarre en mode en mode sans échec
Double-clic sur ce dossier "clean", tu y trouveras dedans plusieurs fichiers.
Double-clic sur "clean".
Cela va ouvrir une fenêtre noire.
Une fenêtre noire va apparaître, suis les consignes du menu
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport va être généré, colle le contenu entier ici.
- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum.
Une fenêtre noire va apparaître, suis les consignes du menu
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
RECHERCHE DU RAPPORT
Pour retrouver "rapport_clean.txt"
Fais ceci: "Démarrer" > "Rechercher"
Clic là où montre la flèche < http://img86.imageshack.us/img86/1365/screenshot240ke9.gif >
Ensuite colle ce qu tu recherches là où montre la flèche < http://img86.imageshack.us/img86/7516/screenshot245gi0.gif >
Puis [Rechercher]
Si ça ne va pas sur "rapport_clean.txt", alors relance une recherche sur "clean.txt"
Cela doit t'indiquer le chemin pour retrouver le fichier .
Explication:
- L'option1 recherche juste les fichiers infectieux.
- Avec "clean" tu peux aussi voir quels types d'infections il y a sur le PC.
- Clean supprime des clefs du registre... certaines clefs utilisées par des vers pour se charger au démarrage de Windows; des BHO/Toolbars, etc.
- La tentative de suppression des clefs a tjrs lieu avec l'option 2.
- Donc, il ne suffit pas de montrer les infections, il faut les tuer !
2°- Télécharge DrWeb
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
La version est automatiquement à jour.
Installe le.
Lance le.
Une analyse des processus se lance.
Ensuite, choisis le lecteur à scanner ( C ) et lance l'analyse.
Choisi de supprimer ce qu’il trouve
Poste le rapport.
On supprimera tous ces outils à la fin.
Re-courage
Al.
Il n'y a que FixWareout qui les détecte !!
Reste encore avec la restauration désactivée .
1°- - Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
-- Redémarre en mode en mode sans échec
Double-clic sur ce dossier "clean", tu y trouveras dedans plusieurs fichiers.
Double-clic sur "clean".
Cela va ouvrir une fenêtre noire.
Une fenêtre noire va apparaître, suis les consignes du menu
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport va être généré, colle le contenu entier ici.
- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum.
Une fenêtre noire va apparaître, suis les consignes du menu
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
RECHERCHE DU RAPPORT
Pour retrouver "rapport_clean.txt"
Fais ceci: "Démarrer" > "Rechercher"
Clic là où montre la flèche < http://img86.imageshack.us/img86/1365/screenshot240ke9.gif >
Ensuite colle ce qu tu recherches là où montre la flèche < http://img86.imageshack.us/img86/7516/screenshot245gi0.gif >
Puis [Rechercher]
Si ça ne va pas sur "rapport_clean.txt", alors relance une recherche sur "clean.txt"
Cela doit t'indiquer le chemin pour retrouver le fichier .
Explication:
- L'option1 recherche juste les fichiers infectieux.
- Avec "clean" tu peux aussi voir quels types d'infections il y a sur le PC.
- Clean supprime des clefs du registre... certaines clefs utilisées par des vers pour se charger au démarrage de Windows; des BHO/Toolbars, etc.
- La tentative de suppression des clefs a tjrs lieu avec l'option 2.
- Donc, il ne suffit pas de montrer les infections, il faut les tuer !
2°- Télécharge DrWeb
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
La version est automatiquement à jour.
Installe le.
Lance le.
Une analyse des processus se lance.
Ensuite, choisis le lecteur à scanner ( C ) et lance l'analyse.
Choisi de supprimer ce qu’il trouve
Poste le rapport.
On supprimera tous ces outils à la fin.
Re-courage
Al.
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 14:49
6 mars 2007 à 14:49
http://www.malekal.com/download/clean.zip
j'ai trouvé un lien sur http://www.malekal.com/download/clean.zip dans une page du forum CCM, je pars avec cette version ;)
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 15:32
6 mars 2007 à 15:32
tinou
Pourrais-tu t'inscrire SVP
Inscription CCM
< inscription >
De telle sorte que je puisse agir ainsi:
« Pour contacter personnellement les seuls membres inscrits sur ce ForumCCM, il faut être également soi-même inscrit »
Merci
Al
Pourrais-tu t'inscrire SVP
Inscription CCM
< inscription >
De telle sorte que je puisse agir ainsi:
« Pour contacter personnellement les seuls membres inscrits sur ce ForumCCM, il faut être également soi-même inscrit »
Merci
Al
DrWeb trouve 5 objects (pskill.exe, Process.exe(x3) et restart.exe), dont 4 font partie de softs que tu m'as fait installer (clean, navilog et SmitFraudFix). Le cinquieme (Process.exe) est dans C:/Windows/System32.
Je suppose que seul le dernier est réellement mal intentionné, mais je demande quand même confirmation: je supprime tout ou seulement le dernier ?
Merci d'avance.
Je suppose que seul le dernier est réellement mal intentionné, mais je demande quand même confirmation: je supprime tout ou seulement le dernier ?
Merci d'avance.
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 15:57
6 mars 2007 à 15:57
Re,
Non, c'est normal (relatif à SmitfraudFix)
"clean" n'a rien effacé ? Option 2 en mode en mode sans échec
Non, c'est normal (relatif à SmitfraudFix)
"clean" n'a rien effacé ? Option 2 en mode en mode sans échec
non à priori, voici son rapport:
j'ai toujours DrWeb en attente... alors je supprime tout ou seulement le dernier (celui sous c:/windowd/system32) ?
Et j'ai l'impression que mon PC va mieux: avant régulièrement une fenetre s'ouvrait pour une pub de sécurite, etc... et je n'en ai plus depuis qq heures ;o)))
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le 06/03/2007 a 14:56:53,36
Microsoft Windows XP [Version 5.1.2600]
*** Suppression de fichiers sur C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
j'ai toujours DrWeb en attente... alors je supprime tout ou seulement le dernier (celui sous c:/windowd/system32) ?
Et j'ai l'impression que mon PC va mieux: avant régulièrement une fenetre s'ouvrait pour une pub de sécurite, etc... et je n'en ai plus depuis qq heures ;o)))
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le 06/03/2007 a 14:56:53,36
Microsoft Windows XP [Version 5.1.2600]
*** Suppression de fichiers sur C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 16:16
6 mars 2007 à 16:16
Re,
Non laisse DrWeb , quitte-le. ( il n'a pas trouvé les saletés )
Je me pose toujours la question de savoir si FixWareout ne nous a pas dupés !!
1°- Supprime tous les outils utilisés suivants : ( SmitfraudFix, FixWareout, clean, eScan Antivirus Toolkit, Navifix/navilog1.zip, rustbfix.exe, DrWeb )
2°- Avec ça, on confirme le boulot d'AVG-AntiSpyware .
Télécharge sur ton bureau RogueRemover de RubbeR DuckY : http://www.malwarebytes.org/RogueRemover.zip
* Créé le dossier « C:\RogueRemover » pour cela :
-- Ouvre le poste de travail
-- Ouvre le disque C
-- Clic sur le menu « Fichier » puis « Nouveau » puis « Nouveau Dossier »
-- Nomme-le « RogueRemover »
Décompresse « RogueRemover.zip » qui se trouve sur ton bureau dans le dossier « C:\RogueRemover »
- Rends-toi dans le dossier « C:\RogueRemover » double-clic sur le fichier « RogueRemover.exe ».
* Clic sur le bouton « Scan ».
* Lorsque le scan est terminé, clic sur « Remove All »
* Clic sur le bouton « Save Logs » ( Save Log Files ),
* un fichier texte de type « RRLogs1236.txt » (RRLogs****.txt ) sera créé dans le dossier « C:\RogueRemover ».
Poste le contenu de ce rapport ici.
Ensuite, supprime le Logiciel.
Il faut que je puisse te joindre par MP, j'ai à te joindre une procédure pour laquelle il faut prendre des précautions.
Donc, inscris-toi ( aucun risque ! )
Après, tu pourras supprimer si tu le juges nécessaire.
Non laisse DrWeb , quitte-le. ( il n'a pas trouvé les saletés )
Je me pose toujours la question de savoir si FixWareout ne nous a pas dupés !!
1°- Supprime tous les outils utilisés suivants : ( SmitfraudFix, FixWareout, clean, eScan Antivirus Toolkit, Navifix/navilog1.zip, rustbfix.exe, DrWeb )
2°- Avec ça, on confirme le boulot d'AVG-AntiSpyware .
Télécharge sur ton bureau RogueRemover de RubbeR DuckY : http://www.malwarebytes.org/RogueRemover.zip
* Créé le dossier « C:\RogueRemover » pour cela :
-- Ouvre le poste de travail
-- Ouvre le disque C
-- Clic sur le menu « Fichier » puis « Nouveau » puis « Nouveau Dossier »
-- Nomme-le « RogueRemover »
Décompresse « RogueRemover.zip » qui se trouve sur ton bureau dans le dossier « C:\RogueRemover »
- Rends-toi dans le dossier « C:\RogueRemover » double-clic sur le fichier « RogueRemover.exe ».
* Clic sur le bouton « Scan ».
* Lorsque le scan est terminé, clic sur « Remove All »
* Clic sur le bouton « Save Logs » ( Save Log Files ),
* un fichier texte de type « RRLogs1236.txt » (RRLogs****.txt ) sera créé dans le dossier « C:\RogueRemover ».
Poste le contenu de ce rapport ici.
Ensuite, supprime le Logiciel.
Il faut que je puisse te joindre par MP, j'ai à te joindre une procédure pour laquelle il faut prendre des précautions.
Donc, inscris-toi ( aucun risque ! )
Après, tu pourras supprimer si tu le juges nécessaire.
tinou35
Messages postés
9
Date d'inscription
mardi 6 mars 2007
Statut
Membre
Dernière intervention
17 juillet 2009
6 mars 2007 à 16:32
6 mars 2007 à 16:32
Pour info le lien http://www.malwarebytes.org/RogueRemover.zip ne pointe plus sur le zip mais sur une page php... que j'ai suivi pour telecharger le soft, par contre, pour le reste, je n'ai pas eu le comportement indiqué:
* Clic sur le bouton « Scan ».
* Lorsque le scan est terminé, clic sur « Remove All »
* Clic sur le bouton « Save Logs » ( Save Log Files ),
* un fichier texte de type « RRLogs1236.txt » (RRLogs****.txt ) sera créé dans le dossier « C:\RogueRemover ».
Poste le contenu de ce rapport ici.
Le scan a été vite et il n'a rien trouvé, en plus pas de bouton "Remove All", et pas de report..
Est-ce grave ?
Je me suis inscrit sur le site, tu dois donc pouvoir m'envoyer des infos.
merci
* Clic sur le bouton « Scan ».
* Lorsque le scan est terminé, clic sur « Remove All »
* Clic sur le bouton « Save Logs » ( Save Log Files ),
* un fichier texte de type « RRLogs1236.txt » (RRLogs****.txt ) sera créé dans le dossier « C:\RogueRemover ».
Poste le contenu de ce rapport ici.
Le scan a été vite et il n'a rien trouvé, en plus pas de bouton "Remove All", et pas de report..
Est-ce grave ?
Je me suis inscrit sur le site, tu dois donc pouvoir m'envoyer des infos.
merci
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 16:34
6 mars 2007 à 16:34
Essaie avec ça et dis-moi si tu rencontre les mêmes soucis SVP
< http://projects.securitywonks.net/projects/details.php?file=82 > sur ton bureau.
Décompresse « RogueRemover.zip » qui se trouve sur ton bureau, et dans le dossier double-clic sur le fichier « RogueRemover.exe ».
EDIT: il semble que le site soit inactif ( serveur ? )
Je réussis ici ( choisir le site de l'auteur ) < http://www.freewarefiles.com/downloads_counter.php?programid=24739 >
Merci
< http://projects.securitywonks.net/projects/details.php?file=82 > sur ton bureau.
Décompresse « RogueRemover.zip » qui se trouve sur ton bureau, et dans le dossier double-clic sur le fichier « RogueRemover.exe ».
EDIT: il semble que le site soit inactif ( serveur ? )
Je réussis ici ( choisir le site de l'auteur ) < http://www.freewarefiles.com/downloads_counter.php?programid=24739 >
Merci
tinou35
Messages postés
9
Date d'inscription
mardi 6 mars 2007
Statut
Membre
Dernière intervention
17 juillet 2009
6 mars 2007 à 16:42
6 mars 2007 à 16:42
je retombe sur le même soft, avec les mêmes conséqueznces...
=> "RigueRemover did not detect any items"
=> "RigueRemover did not detect any items"
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
6 mars 2007 à 16:45
6 mars 2007 à 16:45
EDIT: il semble que le site soit inactif ( serveur ? )
Je réussis ici ( choisir le site de l'auteur ) < http://www.freewarefiles.com/downloads_counter.php?programid=24739 >
Je réussis ici ( choisir le site de l'auteur ) < http://www.freewarefiles.com/downloads_counter.php?programid=24739 >